免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: Godbach

【负载均衡大讨论,参与有礼】TCP/HTTP 负载均衡利器-- HAProxy [复制链接]

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2016-03-31 15:52 |显示全部楼层
回复 79# 天骄老祖

暂时应该主要以看配置文档为主了。

随后抽点时间,可以考虑系统整理一些  HAProxy 的配置使用等介绍。


   

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2016-03-31 18:08 |显示全部楼层
回复 80# laputa73

我也就是简单配置过 KeepAlived + HAProxy,是配置比较简单。


   

论坛徽章:
1
IT运维版块每日发帖之星
日期:2016-04-09 06:20:00
发表于 2016-04-06 15:50 |显示全部楼层
分享一个最近的haproxy安全加固案例

【背景介绍】
内网服务器需要发布80端口到公网。
传统的做法是在公网设备上做DNAT,映射80端口。
想提高安全性,这次打算通过 HAProxy做反向代理,来实现发布。
同时,因为访问80端口的用户是固定的,通过HAProxy的ACL限制指定的IP可以访问80。
最后的结构为  公网设备 => HAProxy => 80端口服务器。
【配置】

listen 0.0.0.0:80
        bind :80
        mode tcp
        acl allow_ip src 192.168.0.0/16     /* 允许源IP为192.168.0.0/16网段可以访问 */
        tcp-request content accept if allow_ip
        tcp-request content reject
        server testweb 1.1.1.1:80


【后续】
对于用反代来做发布,貌似已经是主流做法了。
不过这还是我第一次这样使用
HAProxy的ACL这个Feature还是很好使用的,这次体会到了,增加一层反代带来的扩展性的好处了。

看了下,HAProxy做WAF,防DDOS的方面也有案例,但自己没有做过。
关于反代的安全加固,欢迎大家分享好的经验。

评分

参与人数 1可用积分 +8 收起 理由
Godbach + 8 很给力!

查看全部评分

论坛徽章:
1
IT运维版块每日发帖之星
日期:2016-04-09 06:20:00
发表于 2016-04-06 15:51 |显示全部楼层
问题讨论

最近想用HAProxy来反代网站,但是一直不成功。具体表现就是网站打不开。

是不是HAProxy不支持反代公网网站

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2016-04-06 21:21 |显示全部楼层
回复 84# coldgin

贴一下你的配置吧。

HAProxy 后端 realserver 的配置是支持 domain 的,而且现在新版的,好像还可以定期的进行 DNS resolve。


   

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2016-04-06 21:25 |显示全部楼层
回复 83# coldgin

很赞的分享。

用 HAProxy 的好处在于,你可以根据实际的内容做更深度的 ACL。传统的 NAT 和 iptables,主要就是对于 IP 以及 port 做一些限制。


   

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2016-04-06 21:29 |显示全部楼层
回复 83# coldgin

listen 0.0.0.0:80
        bind :80
        mode tcp
        acl allow_ip src 192.168.0.0/16     /* 允许源IP为192.168.0.0/16网段可以访问 */
        tcp-request content accept if allow_ip
        tcp-request content reject
        server testweb 1.1.1.1:80


你这个配置,没有充分体现出来 HAProxy 作为应用层代理的优势。 就以上的配置,用 iptables 加 NAT 就可以搞定的。

HAProxy 可以对内容进行深度的过滤,比如你配置为 http 的模式。那么就可以在 ACL 中配置过滤各种 hdr 了。对于一些非法 header,或者爬虫的,不希望服务。就可以通过过滤 User Agent 之类的禁止访问。

   

论坛徽章:
1
IT运维版块每日发帖之星
日期:2016-04-09 06:20:00
发表于 2016-04-06 23:34 |显示全部楼层
回复 87# Godbach


主要我這個場景,也不是太複雜,所以mode=tcp就夠用了,能夠滿足需求,就沒有使用http了



论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2016-04-07 00:46 |显示全部楼层
回复 88# coldgin

嗯,是的。TCP 模式的话,性能还要好一些。够用就行。

   

论坛徽章:
1
IT运维版块每日发帖之星
日期:2016-04-09 06:20:00
发表于 2016-04-07 13:52 |显示全部楼层
回复 85# Godbach


    listen 0.0.0.0:1111
        bind :1111
        mode http
        server mirrors mirrors.163.com:80
我的配置很简单
就是转发到163,
我看了数据好像就是转发不到163网站上去
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

SACC2019中国系统架构师大会

【数字转型 架构演进】SACC2019中国系统架构师大会
2019年10月31日~11月2日第11届中国系统架构师大会(SACC2019)将在北京隆重召开。四大主线并行的演讲模式,1个主会场、20个技术专场、超千人参与的会议规模,100+来自互联网、金融、制造业、电商等领域的嘉宾阵容,将为广大参会者提供一场最具价值的技术交流盛会。




----------------------------------------

大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP